Всем привет. В этих двух видео, будет показано, как был получен доступ к информации, которую продает шоп ппмарт. Так же, был получен доступ к админ панели, с возможностью
просмотра и редактирования данных. В первом видео показана эксплуатация sql инъекции, которая присутствует в скрипте авторизации - поле логин.
Результат:
Информация о пользователях.
Аккаунты paypal - почта:логин:баланс.
Продолжительность видео: 16 минут.
Скачать: http://www.sendspace.com/file/w2lsdc
Youtube: http://youtu.be/ldRuRyZePxE
Во втором видео, показана эксплуатация xss уязвимости. А так же яркий пример, как не стоит проводить атаку
Есть момент, где я "психанул", составляя тикет саппарту.
Благо админ попался такой что не беспокоится о безопасности своего проекта. Можно было провести, аккуратней, но все же, результат на лицо. Как можно заметить, практически во всех полях, которые мы проверяли, недостаточная фильтрация входящих данных, что и дало нам возможность завладеть паролем и административной панелью.
В админ панели, спокойно просматриваем палки на продажу, а так же редактируем конфиг.В том числе и данные для пополнения баланса
Продолжительность ролика - 11 минут.
Скачать: http://www.sendspace.com/file/m3rm8x
Youtube: http://youtu.be/Z0YOb1EqZmA
Попытки сообщить админу, о проделанной работе, не были успешны - постоянный игнор.
Так что, если он будет листать этот топ, то прошу прощения. Я пытался предупредить, не
единожды. Обычно выкладываю ролики, по обоюдному согласию.
Всем спасибо за внимание и приятного просмотра.
P.S еще вчера шоп работал.. В HD на ютубе, качество хуже, чем в скачаном видео. За обработку, спасибо Слону
просмотра и редактирования данных. В первом видео показана эксплуатация sql инъекции, которая присутствует в скрипте авторизации - поле логин.
Результат:
Информация о пользователях.
Аккаунты paypal - почта:логин:баланс.
Продолжительность видео: 16 минут.
Скачать: http://www.sendspace.com/file/w2lsdc
Youtube: http://youtu.be/ldRuRyZePxE
Во втором видео, показана эксплуатация xss уязвимости. А так же яркий пример, как не стоит проводить атаку
Есть момент, где я "психанул", составляя тикет саппарту. Благо админ попался такой что не беспокоится о безопасности своего проекта. Можно было провести, аккуратней, но все же, результат на лицо. Как можно заметить, практически во всех полях, которые мы проверяли, недостаточная фильтрация входящих данных, что и дало нам возможность завладеть паролем и административной панелью.
В админ панели, спокойно просматриваем палки на продажу, а так же редактируем конфиг.В том числе и данные для пополнения баланса
Продолжительность ролика - 11 минут.
Скачать: http://www.sendspace.com/file/m3rm8x
Youtube: http://youtu.be/Z0YOb1EqZmA
Попытки сообщить админу, о проделанной работе, не были успешны - постоянный игнор.
Так что, если он будет листать этот топ, то прошу прощения. Я пытался предупредить, не
единожды. Обычно выкладываю ролики, по обоюдному согласию.
Всем спасибо за внимание и приятного просмотра.
P.S еще вчера шоп работал.. В HD на ютубе, качество хуже, чем в скачаном видео. За обработку, спасибо Слону
Last edited:
